Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Выявление каналов НСД к И.
|
|
1. Подготовительный этап проведения комплексных специальных проверок помещений
1.1. Уточнение перечня охраняемых сведений и степени важности защищаемой информации 1.2. Определение вероятного противника и тактики его действий(модели действий вероятного противника: мотив, методы, уровень знаний, тех.оснащенность) 1.3. Разработка замысла проведения специальной проверки помещений 1.3.1. выработка целевой установки: для противодействия какому противнику следует провести поисковые мероприятия; 1.3.2. определение масштаба и места проведения поисковых мероприятий; 1.3.3. выбор времени проведения проверки; 1.3.4разработка легенды, под прикрытием которой будет проводится специальная проверка; 1.3.5выработка замысла активизации активации внедренных средств НСИ; 1.3.6.выработка вариантов действий в случае обнаружения средств НСИ. 1.4. Изучение и предварительный осмотр объектов проверки(Изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов. Предварительный осмотр помещений) 1.5. Выбор аппаратуры для проведения проверки, распределение сил и средств(разработка перечня аппаратуры) 1.6. Разработка дополнительных мер по активизации внедренных средств НСИ на время проведения поиска. 1.7. Составление плана проведения специальной проверки, утверждение его у руководителя 1.8. Предварительный анализ радиоэлектронной обстановки обследуемых помещений(карта занятости радиоэфира в условиях обычного режима работы предприятия, база данньк идентифицированных радиосигналов, а также база данных подозрительных радиоизлучений, требующих дополнительного исследования) 1.9.Подготовка документов прикрытия в соответствии с легендой.
2. Этап непосредственного проведения комплексной специальной проверки помещений 2.1. Визуальный осмотр ограждающих конструкций, мебели и других предметов интерьера помещений 2.2. Проверка элементов строительных конструкций, мебели и других предметов с использованием специальных технических средств. Выполнение запланированных мер по активизации средств НСИ. 2.3. Проверка линий и оборудования проводных коммуникаций(силовой и осветительной электросети; офисной и абонентской телефонной сети; радиотрансляционной связи; пожарной и охранной сигнализации и др. проводных сетей) 2.4. Радиомониторинг проверяемых помещений, локализация радиоизлучающих средств негласного съёма информации 2.5. Поиск средств негласного съёма информации, внедрённых в электронные приборы. Также исследование звукопроницаемости элементов конструкций, проверка трубопроводных и других инженерно - технических коммуникаций на наличие в них акустических и виброакусшческих сигналов из проверяемого помещения. Исследование ПЭМИнов компьютеров, ргтехники и другого оборудования для выявления в них информативных сигналов.
3. Заключительный этап комплексной специальной проверки помещений 3.1. Обработка результатов исследования 3.2. Определение характеристик изъятых средств негласного съёма информации 3.3. Составление описания проведённых работ 3.4. Разработка рекомендаций по повышению защищённости помещений(составление перечня и схем выявленных технических каналов утечки информации по каждому помещению; оценка степени существующей защиты каждого помещения от негласного съема информации по выявленным каналам ее утечки; разработка дополнительных мер и способов защиты по каждому каналу и помещению; составление свободного перечня технических средств и систем, рекомендуемых к установке; разработка предложений по способам использования рекомендуемых ТС) 3.5. Составление акта проведения комплексной специальной проверки помещений 3.6. Предоставление итоговых и отчетных документов руководителю для утверждения.
- Определение возможностей несанкционированного доступа к защищаемой информации при организации КСЗИ.
Использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа.
Самым распространенным, многообразным по методам несанкционированного доступа, а потому и самым опасным каналом является установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.
В первую группу входят лица, работающие на данном предприятии, а также не работающие на нем, но имеющие доступ к конфиденциальной информации предприятия в силу служебного положения (из органов власти, вышестоящих, смежных предприятий и др.). Вторая группа включает уволенных или отстраненных от данной конфиденциальной информации лиц, в том числе продолжающих работать на предприятии, а также эмигрантов и «перебежчиков». Эта группа наиболее опасна, поскольку нередко имеет дополнительные причины для разглашения информации (обида за увольнение, недовольство государственным устройством и др.).
Контакт с этими людьми может быть установлен различными путями, например на семинарах, выставках, конференциях и других публичных мероприятиях. Опосредованный контакт, осуществляемый через посредников (без прямого общения, диалога), устанавливается через коллег, родственников, знакомых, которые и выступают в роли посредников.
Использование данного канала может иметь целью уничтожение или искажение информации с помощью лиц, имеющих к ней доступ, или для получения конфиденциальной информации. При этом применяются различные методы несанкционированного доступа к информации.
Наиболее распространенным методом является выведывание информации под благовидным предлогом. Это может осуществляться в неофициальных беседах на публичных мероприятиях и т. д. с включением в них пунктов, касающихся конфиденциальной информации.
Широко используется метод переманивания сотрудников конкурирующих предприятий с тем, чтобы, помимо использования их знаний и умения, получить интересующую конфиденциальную информацию, относящуюся к прежнему месту их работы.
При использовании метода покупки конфиденциальной информации активно ищут недовольных заработком, руководством, продвижением по службе.
Следующий метод — принуждение к выдаче конфиденциальной информации шантажом, различного рода угроза! ми, применением физического насилия как к лицу, владеющему информацией, так и к его родственникам и близким!
Можно использовать склонение к выдаче конфиденциальной информации убеждением, лестью, посулами, обманом, в том числе с использованием национальных, политических, религиозных факторов.
С ростом промышленного шпионажа все более опасным каналом становится вербовка и внедрение агентов. Отличие агентов от лиц, осуществляющих разовые продажи конфиденциальной информации, состоит в том, что агенты работают на постоянной основе, занимаются систематическим сбором конфиденциальной информации и могут оказывать на нее другое дестабилизирующее воздействие.
С помощью агентов разведывательные службы обычно стремятся получить доступ к такой информации, которую I нельзя добыть через другой, менее опасный канал. И хотя агентурная разведка, именуемая в уголовном праве шпионажем, сурово карается, она практикуется в широких масштабах, поскольку агенты могут получать не только конфиденциальную информацию, относящуюся к их служебной деятельности, но и иную, используя различные методы несанкционированного доступа к ней, а также оказывать другое дестабилизирующее воздействие на информацию.
Третий канал — организация физического проникновения к носителям конфиденциальной информации сотрудников разведывательных служб — используется сравнительно редко, поскольку он связан с большим риском и требует знаний о месте хранения носителей и системе защиты информации, хотя уровень защиты информации в некоторых государственных и многих частных структурах дает возможность получать через этот канал необходимую информацию.
Физическое проникновение лиц, не работающих на объекте, включает два этапа: проникновение на территорию (в здания) охраняемого объекта и проникновение к носителям конфиденциальной информации.
При проникновении на территорию объекта возможно применение следующих методов:
— использование подложного, украденного или купленного (в том числе и на время) пропуска;
— маскировка под другое лицо, если пропуск не выдается на руки;
— проход под видом внешнего обслуживающего персонала;
— проезд спрятанным в автотранспорте;
— отвлечение внимания охраны для прохода незамеченным (путем создания чрезвычайных ситуаций, с помощью коллеги и т. д.);
— изоляция или уничтожение охраны (в редких, чрезвычайных обстоятельствах);
преодоление заграждающих барьеров (заборов), минуя охрану, в том числе и за счет вывода из строя технических средств охраны
Проникновение к носителям конфиденциальной информации может осуществляться путем взлома дверей хранилищ и сейфов (шкафов) или их замков, через окна, ее проникновение производится в нерабочее время, с отключением (разрушением) сигнализации, телевизионных средств наблюдения (при необходимости), или, при проникновении в рабочее время, путем прохода в комнаты исполнителей, работающих с конфиденциальными документами, в производственные и складские помещения для осмотра технологических процессов и продукции, а также в помещения, которых производится обработка информации.
Проникновение к носителям конфиденциальной формации осуществляется и во время их транспортировки: с использованием, в зависимости от вида, условий и маршрута транспортировки, соответствующих методов.
Целью проникновения является, как правило, получение конфиденциальной информации, но она может с стоять и в оказании на информацию дестабилизирую! воздействий, приводящих к ее уничтожению, искажению блокированию.
Подключение к средствам отображения, хранения, работки, воспроизведения и передачи информации, средства связи (четвертый канал несанкционированного доступа к конфиденциальной информации) может осуществляться с лицами, находящимися на территории объекта и вне него. Несанкционированное подключение, а, следовательно, и санкционированный доступ к конфиденциальной информации может производиться:
— с персонального компьютера с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя; с помощью программных и радиоэлектронных западных устройств;
— с помощью прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов;
— за счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.
Пятый канал — прослушивание речевой конфиденциальной информации — всегда широко использовался, его опасность увеличивается по мере появления новых технических средств прослушивания. При этом речь идет о прослушивании не агентами, находящимися внутри помещения, а лицами, расположенными вне задания, иногда на значительном расстоянии от него. Такое прослушивание чаще всего осуществляется по двум направлениям:
— подслушивание непосредственных разговоров лиц, допущенных к данной информации;
— прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения.
Визуальный съем конфиденциальной информации (седьмой канал несанкционированного доступа к ней) может осуществляться следующими методами:
— чтением документов на рабочих местах пользователей (в том числе с экранов дисплеев, с печатающих устройств) в присутствии пользователей и при их отсутствии;
— осмотром продукции, наблюдением за технологическим процессом изготовления продукции;
просмотром информации, воспроизводимой средствами видеовоспроизводящей техники и телевидения;
— чтением текста, печатаемого на машинке и размножаемого множительными аппаратами;
— наблюдением за технологическими процессами изготовления, обработки, размножения информации;
— считыванием информации в массивах других пользователей, в том числе чтением остаточной информации.
Перехват электромагнитных излучений (седьмой канал) включает в себя перехват техническими средствам, как функциональных сигналов, так и особенно побочный создаваемых техническими средствами отображения, хранения, обработки, воспроизведения, передачи информации средствами связи, охранной и пожарной сигнализации системами обеспечения функционирования этих средств техническими средствами технологических процессов на которых промышленных объектов, образцами вооружение и военной техники, вспомогательными электрическими радиоэлектронными средствами (электрическими часами бытовыми магнитофонами, видеомагнитофонами, ради приемниками, телевизорами).
Методами перехвата являются поиск сигналов, выделение из них сигналов, несущих конфиденциальную информацию, съем с них информации, ее обработка и анализ.
Этот канал имеет, по сравнению с другими каналами,! преимущества: большой объем и высокая достоверное™ получаемой информации, оперативность ее получение возможность съема в любое время, скрытность получения, возможность обнародования без угрозы перекрытия канала.
Методами, применяемыми при использовании восьмого канала — исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации — могут быть:
— приобретение и разработка (расчленение, выделение отдельных составных частей, элементов) выпускаемых изделий, их химический и физический анализ (обратный инжиниринг) с целью исследования конструкции, компонентов и других характеристик;
— сбор и изучение поломанных изделий, макетов изделий, бракованных узлов, блоков, устройств, деталей, созданных на стадии опытно-конструкторских разработок, а также руды и шлаков, позволяющих определить состав материалов, а нередко и технологию изготовления продукции;
— сбор и прочтение черновиков и проектов конфиденциальных документов, копировальной бумаги, красящей ленты печатающих устройств, прокладок, испорченных магнитных дискет.
Следует отметить, что эти методы возможны, как правило, при нарушении требований по хранению носителей конфиденциальной информации и обращению с ними.
Использование девятого канала— изучение доступных источников информации, из которых можно получить конфиденциальные сведения, — осуществляется путем:
— изучения научных публикаций, содержащихся в специализированных журналах (сборниках);
— просмотра (прослушивания) средств массовой информации (газет, журналов, теле- и радиопередач);
— изучения проспектов и каталогов выставок;
— прослушивания публичных выступлений на семинарах, конференциях и других публичных мероприятиях;
— изучения формируемых специализированными комическими структурами банков данных о предприятиях.
Целью изучения является не только получение прямой конфиденциальной информации, но и накопление, обобщение, сопоставление открытой информации, собранной из различных источников и за определенный промежуток времени, что позволяет «вывести» конфиденциальную информацию. Несмотря на кажущийся парадокс (в открыть источниках закрытая информация), такой анализ даст возможность получить значительное количество конфиденциальной информации
- Определение компонентов комплексной системы защиты информации.
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ т. д. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
— характер деятельности предприятия;
— состав защищаемой информации, ее объем, способы представления и отображения;
— численный состав и структура кадров предприятия;
— техническая оснащенность предприятия;
— экономическое состояние предприятия;
— организационная структура предприятия;
— нормативно-правовое обеспечение деятельности предприятия.
В меньшей степени на организацию КСЗИ на предприятии могут влиять:
— режим работы предприятия;
— технология производства и управления;
— тип и объем производства;
— местоположение и архитектурные особенности предприятия;
— форма собственности предприятия.
Компоненты КСЗИ со слабой защитой – должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно-правовых мер.
Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.
Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).
Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.
Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.
Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)
| Уровень защиты | Стратегия защиты информации | ||
| Оборонительная | Наступательная | Упреждающая | |
| Слабый (< = 0, 5) | |||
| Средний (0, 5 – 0, 75) | |||
| Сильный (0, 75 – 0, 87) | |||
| Очень сильный (0, 87 – 0, 93) | |||
| Особый (> 0, 93) |
Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.
Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:
1. Очень высокая защита (особо конфиденциально);
2. Высокая защита (строго конфиденциально);
3. Средняя защита (конфиденциально);
4. Низкая защита (открытая информации).
Допустимые и целесообразные компоненты КСЗИ (типы систем защиты информации) для различных уровней защиты
По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:
1. Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.
2. Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.
3. Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.
| Уровни защиты | Компоненты (средства) КСЗИ | ||
| Пассивные | Полуактивные | Активные | |
| Слабая защита (К) | Допустимые / целесообразные | Допустимые / целесообразные в особых случаях | Допустимые / нецелесообразно |
| Сильная защита (СК) | Недопустимые | Допустимо/целесообразно | Допустимо / целесообразно в особых случаях |
| Очень сильная защита (ОК) | Недопустимые | Допустимо / целесообразно в особых случаях | Допустимо / целесообразно обязательно в особых случаях |
| Особая защита (С) | Недопустимые | Не допустимо | Обязательно |
Светлым цветом – базовые компоненты, более темным – допустимые компоненты.
К – конфиденциально
СК – строго конфиденциально
ОС – особо конфиденциально
С - секретно
Применительно к практике потенциально не обходимые компоненты КСЗИ (средств защиты информации) целесообразно привязать к типовым объектам защиты, например, подсистеме компьютерной безопасности:
· персональный компьютер,
· групповая ЭВМ (сервер),
· вычислительный центр предприятия,
· вычислительный центр коллективного пользования,
· локальная вычислительная сеть,
· городская вычислительная сеть.
· Региональная вычислительная сеть.
· Глобальная вычислительная сеть.
| Типовые объекты подсистемы компьютерной безопасности КСЗИ | Требуемые варианты систем (средств) защиты информации | |||||
| Слабая защита (пассивные) | Сильная защита (полуактивные) | Сильная защита (активные) | Очень сильная защита (активные) | Очень сильная защита (полуактивные) | Особая защита (активные) | |
| ПК | Ц | Д/Ц* | ||||
| Главная ЭВМ (сервер) | Ц* | Ц | Д/Ц* | |||
| ВЦ предприятия | Д* | Ц | Д/Ц* | Д* | ||
| ВЦ коллективного пользования | Ц | Ц* | Ц* | Д* | ||
| ЛВС | Ц* | Ц | Д* | |||
| Городская ВС | Ц* | Ц* | Ц | Ц* | Д* | |
| Региональная ВС | Ц* | Ц* | Ц | Д* | Ц* | |
| Глобальная ВС | Ц | Ц* |
Выделены базовые позиции
Ц – целесообразные
Д – допустимые
* - в особых случаях
- Определение условий функционирования комплексной системы защиты информации.
Изучение объекта защиты является важнейшим этапом в проектировании КСЗИ. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффективность создаваемой системы защиты, и, наоборот, тщательно проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информации:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
— график работы объекта и его отдельных подразделений;
— правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
— численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
— процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
— пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
— пространство, непосредственно прилегающее к территории объекта;
— ограждение периметра территории и проходы;
— инженерные коммуникации, подземные хранилища и сооружения на территории;
— размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
— инженерные коммуникации в помещениях;
— состояние подвальных и чердачных помещений;
— размещение, конструкции и состояние входов, дверей, окон;
— существующую систему защиты;
— состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
— ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение;
— документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения;
- Разработка модели комплексной системы защиты информации.
Целями моделирования КСЗИ являются:
1. Поиск оптимальных решений по управлению КСЗИ;
2. Оценка эффективности использования различных подсистем и мероприятий по защите информации;
3. Определение потребных параметров защиты информации
4. И другие цели
Применительно к КСЗИ создаются не одна, а несколько моделей различных типов:
· Модели анализа исследуемых процессов систем и подсистем;
· Модели синтеза (построения различных систем, подсистем и мероприятий);
· Модели управления исследуемыми процессами (подсистемами) с целью поиска оптимальных управленческих решений.
При этом рассматриваются
· общие модели (в масштабе всей КСЗИ или подсистемы)
· частные модели с целью определения отдельных параметров функционирования КСЗИ (подсистемы)
В основе каждой модели лежит определенный метод моделирования:
· Аналитические методы (модели);
· Имитационные методы (модели);
· Экспертные методы (модели).
Как правило, все указанные типы методов (моделей) реализуются на основании использования различных видов математических аппаратов: теории вероятности, исследовании операций, дискретной математики, теории нечетких множеств и т.д.
Виды моделей по защите информации
| Характеристики | Аналитические модели | Имитационные модели | Экспертные модели |
| Решаемые задачи защиты информации (ИБ) | - определение узвимостей в системе защиты - вероятностное оценивание всех процессов, включая экономическую оценку - обоснование мер - и другие | - исследование объекта - оценка влияния различных факторов - процессы обучения - и т.д. | - оценка уровней безопасности - сравнение вариантов по ЗИ - анализ последствий реализации угроз - и т.д. |
| Достоинства | - достаточный уровень формализации ЗИ (ИБ) - формульное представление моделей - количественная оценка | - естественный язык моделирования (получение данных) - моделирование слабоформализуемых явлений | |
| Недостатки | - сложность учета большого количества факторов - не стационарный характер анализируемых процессов | - субъективный характер оценки - трудность получения количественных характеристик |
На практике при моделировании как правило используется сочетание различных видов моделей.
Обобщенная модель КСЗИ
Обобщенная модель представляет собой совокупность частных моделей отдельных компонентов, входящих в КСЗИ. Данная модель позволяет обосновывать стратегические решения (стратегии) по защите информации на основе перспективных планов развития предприятия.
 |
Структура локальной пятимерной модели доступа к информации
 |
Основные рекомендации по использованию моделей:
1. (основная) моделями должен пользоваться только квалифицированный специалист-профессионал по защите информации;
2. Модели надо использовать не просто для получения конкретных значений показателей, а для оценки поведения этих значений в тех или других ситуациях;
3. Для оценки адекватности моделей (правильности решений) в рассматриваемых условиях необходимо привлекать квалифицированных (опытных) экспертов по защите информации;
4. Необходимо постоянно уточнять исходные данные при использовании моделей, т.к. они имеют высокую степень неопределенности в различных ситуациях.
- Содержание работ по организации КСЗИ.
Для решения сложных проблем, требуется организационная деятельность многих людей. Решение этих задач необходимо для обеспечения корректной работы КСЗИ. Такая деятельность в искусственных формированиях (сделанных человеком) называется организационными системами (ОС). ОС эквивалентно КСЗИ.
Технологические этапы ОС (не обязательно должны быть последовательными): 1. Постановка проблемы 2. Исследование проблемы: сбор и анализ всех данных и знаний о проблеме, и факторах, влияющих на ее решение 3. Определение границ проблемного объекта, т.е. потенциальных участников решения проблемы 4. Обследование проблемного объекта. Формируется целевая программа по решению проблемы и решается вопрос о целесообразности создания ОС. 5. Выбор критерия эффективности ОС 6. Выбор границ объекта управления 7. Обследование объекта управления 8. Разработка технического задания на создание ОС. Выбор эффективного варианта построения ОС. 9. Техническое и рабочее проектирование ОС 10. Внедрение ОС.
РИС. Общая схема решения организационных проблем. Проблема à Знания à Ресурсы: 1. Постановления, приказы, планы, договоры. 2. Целевые комплексные программы 3. Организационные системы.
- Характеристика основных стадий создания КСЗИ.
Рекомендуются следующие стадии создания системы защиты информации:
1. Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;
2. Стадия проектирования (разработки проектов), включает разработку системы защиты информации в составе объекта информатизации;
3. Стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствующие требования безопасности информации.
Выполняемые работы на предпроектной стадии по обследованию объекта информатизации
На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:
1. Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
2. Определяется перечень сведений конфиденциального характера подлежащих защите;
3. Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
4. Определяются условия расположения объекта информатизации относительно границ контролируемой зоны;
5. Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
6. Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке;
7. Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах;
8. Определяется класс защищенности в автоматизированной системе;
9. Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
10. Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
Содержание аналитического обоснования необходимости создания системы защиты информации
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.
На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.
Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.
Аналитическое обоснование необходимости создания системы защиты информации должно содержать:
1. Информационную характеристику и организационную структуру объекта информатизации;
2. Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации;
3. Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
4. Перечень предлагаемых к использованию сертифицированных средств защиты информации;
5. Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации;
6. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;
7. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителями организации-заказчика.
Содержание технического задания на разработку системы защиты информации
Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:
1. Обоснование разработки;
2. Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
3. Класс защищенности автоматизированных систем;
4. Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;
5. Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы;
6. Перечень предполагаемых к использованию сертифицированных средств защиты информации;
7. Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения;
9. Перечень подрядных организаций-исполнителей видов работ;
10. Перечень предъявляемый заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;
Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.
Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:
· Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;
· Разработку раздела технического проекта на объект информатизации в части защиты информации;
· Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
· Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;
· Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;
· Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;
· Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;
· Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
· Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;
· Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;
· Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
· Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.
Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:
· Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
· Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;
· Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;
· Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);
· Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:
· Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
· Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
· Аттестация объекта информатизации по требованию безопасности информации.
На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:
· Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
· Протоколы аттестационных испытаний и заключение по их результатам;
· Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).
Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
· На проектирование объекта информатизации и назначение ответственных исполнителей;
· На проведение работ по защите информации;
· О назначении лиц, ответственных за эксплуатацию объекта информатизации;
· На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.
Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.
Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.
- Назначение и структура технического задания на проектирование КСЗИ.
Основная цель этого этапа — разработка и обоснование требований к структуре системы защиты и обеспечение совместимости и взаимодействия всех средств. Главное на этом этапе — сбор и подготовка исходных данных, определение состава системы, плана ее создания и оценка затрат. Разработка технического задания начинается после утверждения ТЭО(технико – экономическое обоснование).
Техническое задание должно содержать: 1. Обоснование разработки; 2. Исходные данные создаваемого объекта в техническом, программном, информационном и организационном аспектах; 3. Класс защищенности АС. 4. Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ 5. Требования к СЗИ 6. Перечень предполагаемых СЗИ 7. Обоснование проведения разработок собственных средств ЗИ, и обоснование почему нельзя использовать готовые сертифицированные средства ЗИ имеющиеся на рынке; 8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения; 9. Перечень работ подрядных организаций 10. Перечень продукции и документации предъявляемый заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;
Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.
Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
- Назначение и структура технико-экономического обоснования на проектирование КСЗИ.
На этом этапе анализируется деятельность объекта, готовятся исходные данные для технико-экономического обоснования (ТЭО) и готовятся ТЭО. Главное на этом этапе — обоснование целесообразности и необходимости создания системы защиты, ориентировочный выбор защищаемых каналов, определение объемов и состава работ по созданию системы защиты, сметы и сроков их выполнения.
Технико-экономическое обоснование должно согласовываться со всеми организациями и службами, ответственными за обеспечение безопасности, и утверждаться лицом, принимающим решения.
Структура технико-экономического обоснования. Последовательность разработки: 1. Исходные данные и условия 2. Рынок и мощность предприятия 3. Материальные факторы производства 4. Местонахождение предприятия 5. Проектно-конструкторская документация 6. Организация предприятия и накладные расходы. 7. Трудовые ресурсы. 8. Планирование сроков осуществления проекта 9. Финансово- Стратегическое и организационное. проекта.
- Организационное построение комплексной системы защиты информации: характеристика предпроектного обследования объекта защиты.
На предпроектной стадии выполняется важнейшая работа: изучается объект защиты. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффективность создаваемой системы защиты, и, наоборот, тщательно проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информ ации:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
— график работы объекта и его отдельных подразделений;
— правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
— численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
— процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных
потоков. В состав этих данных входят сведения, характе-
ризующие:
— пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
— пространство, непосредственно прилегающее к территории объекта;
— ограждение периметра территории и проходы;
— инженерные коммуникации, подземные хранилища и сооружения на территории;
— размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
— инженерные коммуникации в помещениях;
— состояние подвальных и чердачных помещений;
— размещение, конструкции и состояние входов, дверей, окон;
— существующую систему защиты;
— состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземнЫх сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т.п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
— ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение. Эта схема позволит оценить возможности эшелонирования защиты, выработать рекомендации по рубежам защиты, выбрать и определить зоны безопасности и оценить «прочность» рубежей;
— документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения; для описания документооборота можно использовать специально разработанные формы.
- Организационное построение комплексной системы защиты информации: характеристика технического проекта.
На этом этапе разрабатываются и обосновываются все проектные решения: Разработан и обоснован выбранный вариант проекта; уточнены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться 2-3 варианта решения поставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте.
При создании системы защиты небольшого или простого объекта этап технического проектирования может быть исключен.
Цель технического проекта – определение основных методов, используемых при создании КСЗИ и окончательное определение ее сметной стоимости.
Результат – разработка:
- общесистемных решений, необходимых и достаточных для выпуска эксплуатационной документации на систему в целом,
- проектов заявок на разработку новых технических средств,
- документации специального математического и информационного обеспечения.
Все данные вносятся в единый документ. Техническое проектирование подсистем осуществляется в соответствии с утвержденным техническим заданием. Технический проект должен включать данные об объемах и интенсивности потоков обрабатываемой информации, количестве пользователей автоматизированной системы, характеристиках оборудования и программного обеспечения.
- Организационное построение КСЗИ: характеристика рабочего проекта.
Разработка рабочего проекта имеет своей целью детализировать проектные решения, принятые на предыдущем этапе. В частности:
— определяется и фиксируется регламент взаимодействия отдельных служб и составляющих системы обеспечения безопасности;
— составляются технологические и должностные инструкции персонала;
— разрабатывается рабочая документация.
В состав рабочей документации входят: спецификация оборудования и материалов, схемы размещения технических средств системы защиты (охранно-пожарной сигнализации, охранного телевидения, охранного освещения и т. п.), схемы прокладки кабельной связи системы защиты, схемы прокладки электропитания системы защиты.
Каждая система защиты уникальна, поэтому документация, как правило, строго индивидуальна и зависит не только от типа и размера объекта защиты, но и от возможностей и опыта заказчика, который будет ее эксплуатировать.
Поскольку документация содержит конфиденциальные сведения, круг лиц, допущенных к ознакомлению и работе с ней, должен быть ограничен.
- Организационное построение КСЗИ: характеристика этапа апробации и ввода в эксплуатацию.
Стадия эксплуатации
Включает процессы:
· Принятие изделия заказчиком от поставщика;
· Ввод в эксплуатацию;
· Приведение в установленную степень готовности к использованию по назначению;
· Поддержание в установленной степени готовности и использование;
· Хранение и транспортирование при эксплуатации;
· Техническое обслуживание текущий и средний ремонт;
· Использование по назначению;
· Контроль эффективности.
Ввод в эксплуатацию — это стадия создания системы защиты, состоящая из нескольких этапов
1) ввод в действие отдельных элементов системы;
2) комплексная стыковка элементов системы;
3) опытная эксплуатация;
4)приемочные испытания и сдача в эксплуатацию.
На практике при создании систем защиты границы между этими этапами размыты.
Состав выполняемых работ следующий:
— комплектация технического обеспечения системы;
— монтажные или строительно-монтажные работы и пуско-наладочные работы;
— обучение персонала (предварительно должны быть укомплектованы все службы системы обеспечения безопасности с учетом требуемой квалификации);
—: опытная эксплуатация компонентов и системы в целом;
— приемочные испытания и приемка системы в эксплуатацию.
Все эти работы начинаются только после утверждения всех документов и выделения финансовых средств. Разработчик системы защиты проводит техническое и коммерческое сравнение всех предложений от конкурирующих фирм-изготовителей защитного оборудования, после чего выбирает поставщика, заключает договор на поставку оборудования и оплачивает его.
При получении оборудования желательно сразу проводить его проверку на соответствие сопроводительным документам и техническим условиям, а также (если это возможно) проверку работоспособности в условиях эксплуатации.
Все работы по монтажу и отладке системы защиты должны выполнять специалисты. Силами заказчика можно выполнять только специфические и небольшие по трудозатратам работы такие, как, например установка скрытого теленаблюдения, перенос датчиков охранной сигнализации, ремонт системы радиосвязи и т. п.
Желательно, чтобы в монтаже и настройке защитных систем участвовали те сотрудники службы охраны объекта, которые будут их эксплуатировать.
После окончания работ и испытаний необходимо уточнить все вопросы гарантийного и послегарантийного обслуживания системы защиты.
- Кадровое обеспечение функционирования КСЗИ: определение кадрового состава.
Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверенной ему тайны. То есть причины нарушения безопасности информации связаны с психологическими особенностями человека, его личными качествами, следовательно, и способы предотвращения перечисленных нарушений вытекают из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников.
При подборе кадров необходимо ориентироваться не только на отдельные характеристики психики, а на черты личности как ее системные свойства. Выделим наиболее результативные методы изучения личности:
— изучение жизненного пути личности;
— изучение мнения коллектива, в котором работает личность;
— изучение ближайшего окружения личности;
— создание ситуации, наиболее подходящей для проявления профессионально важных качеств и свойств;
— изучение высказывания личности о собственной роли в делах коллектива.
К качествам, соответствующим работе в таких условиях, относятся: честность, добросовестность, принципиальность (строгое следование основным правилам), исполнительность, пунктуальность, дисциплинированность, эмоциональная устойчивость (самообладание), стремление к успеху и порядку в работе, самоконтроль в поступках и действиях, правильная самооценка собственных способностей и возможностей, осторожность, умение хранить секреты, тренированное внимание и неплохая память.
Качества, не способствующие сохранению доверенной тайны: эмоциональное расстройство, неуравновешенность поведения, разочарование в себе, отчужденность от коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистичные интересы, нечестность, употребление наркотиков и алкоголя, постепенно разрушающих личность.
ИЛИ
Сначала необходимо планирование отбора, затем подразделениями, где есть вакансии, составляется заявка, в которой указывается число необходимых специалистов, их должностные обязанности, квалификационные требования(опыт, образование, навыки и пр.), желательные личностные качества, описывается система стимулирования труда. Подготавливается пакет документов: должностная инструкция будущего сотрудника, перечень конфиденциальной информации, с которой будет работать сотрудник, трудовой договор с пунктами о неразглашении, опросные материалы(анкета).
После чего начинается поиск сотрудников, привлечение через рекламу различного рода(внешний поиск) либо поиск внутри предприятия.
По мере поступления кандидатов происходит предварительное собеседование, для того что бы отсеять совершенно неподходящие кандидатуры. При таком собеседовании собирается первичная информация(коммуникабельность, стремление сотрудничать и пр.). Если этот этап (первоначальное знакомство) проходит удачно – претендентам предлагается написать стандартные сведения о себе(анкету). Анализ анкетных данных позволяет выявить не только соответствие образования
|